使用 Amazon Security Lake 加速事件响应 安全博客

加速事件响应：使用亚马逊安全湖

作者：Jerry Chen 和 Frank Phillis，发布日期：2024年5月28日

关键要点

亚马逊安全湖 是一个专门构建的数据湖，可以集中存储安全日志，提升事件响应能力。本文详细说明了在事件响应的每个阶段准备、检测与分析、遏制、消除和恢复、后期活动如何利用安全湖的优势。提供了使用 AWS 安全参考架构AWS SRA配置安全湖的指导，将帮助用户优化多账户部署。

这篇博文是两部分系列的第一篇，旨在展示 亚马逊安全湖 的价值，以及如何利用它和其他资源加快您的事件响应IR能力。安全湖是一个特别构建的数据湖，能够以统一、行业标准的格式集中存储您的安全日志。在第一部分中，我们将展示安全湖在 国家标准与技术研究所NISTSP 80061计算机安全事件处理指南 每个阶段所带来的价值。然后，我们将演示如何通过使用 AWS 安全参考架构AWS SRA 在多账户部署中配置安全湖。

在 本系列的第二部分 中，我们将通过一个示例演示如何使用安全湖和其他 AWS 服务及工具来推进事件的解决。

在 亚马逊网络服务AWS，安全是我们的首要任务。当安全事件发生时，客户需要具备快速调查和解决问题的能力。安全湖增强了您在检测和分析阶段的能力，这可以减少解决时间和业务影响。我们专门在 AWS WellArchitected Framework 的安全支柱中涵盖了 事件响应，提供了关于准备和处理事件的建议指导，并发布了 事件响应计划书。

事件响应生命周期

NIST SP 80061 描述了一套用于解决事件的步骤。这些步骤包括准备第 1 阶段、检测与分析第 2 阶段、遏制、消除与恢复第 3 阶段，最后是事件后期活动第 4 阶段。

下面是根据 NIST SP 80061 定义的事件响应工作流。响应流程从第 1 阶段到第 4 阶段，通常第 2 阶段和第 3 阶段是一个迭代的过程。我们将讨论安全湖在 NIST 事件响应处理过程中每个阶段的价值，重点关注准备、检测和分析。

第 1 阶段：准备

准备确保工具、流程和人员为事件响应做好准备。在某些情况下，准备还可以帮助您识别可能不够安全的系统、网络和应用。例如，您可能在准备过程中确定需要某些系统日志，但发现这些日志未启用。

安全湖可以通过以下方式帮助您应对准备阶段的挑战：

简化系统集成：安全湖提供一个中央存储库，存储来自多个数据源的安全日志数据，减少集成工作量。简化跨混合环境的数据整合：支持包括 AWS 原生服务和自定义源的多个日志来源，以简化日志的集中处理。促进事件响应计划和测试：安全湖减少了将安全数据导入工具所需的繁琐工作，让团队可以专注于应急准备。

第 2 和第 3 阶段：检测与分析、遏制、消除与恢复

检测与分析阶段第 2 阶段应致力于理解事件的直接原因及需要采取的应对措施。一旦事件被遏制，确保完全消除问题至关重要。这些步骤构成了事件响应周期的第 3 阶段。

在第 2 和第 3 阶段通常存在以下挑战：

难以从不同数据源产生洞察：安全数据中产生的洞察不足会减少团队发现事件的概率。数据可见性和数据孤岛不一致：数据孤岛会减缓 IR 数据分析，因为收集和关联必要的信息变得困难。采纳新技术的障碍：例如，AI 驱动的安全分析工具需要来自不同数据源的大量数据。

安全湖通过原生支持日志注入，能够帮助应对以上挑战：

云中心化检测数据能力，通过标准对象结构，组织可以集中访问其安全数据。减少管理负担，权限复杂性降低，确保只有合适的人和系统能访问敏感安全数据。

第 4 阶段：事件后期活动

通过持续改进，客户能够进一步发展其 IR 能力。团队应将经验教训整合进工具、政策和流程中。这一阶段的目标是为每个事件实现有效的后期审查，以支持将来的学习和数据治理。

利用安全湖获取成功

许多客户都在多个 AWS 账户上运行，通常使用 AWS Organizations。我们将展示如何依据 AWS 安全参考架构AWS SRA 设置安全湖。

在日志存储账户中设置安全湖

以下步骤指导您如何在日志存储账户中设置安全湖：

记录 AWS 账户号：这将是您的集中存储日志的账户。请登录 AWS 管理控制台，设置安全湖的委派管理。访问安全湖控制台并选择开始：遵循 安全湖用户指南 设置过程。

注意：如果您更喜欢视觉指南，可以参考 这段视频 来了解如何在 AWS 组织中设置安全湖。

设置 Amazon Athena 和 AWS Lake Formation

访问您安全工具账户中的 Athena，您将需要设置 AWS Lake Formation 和 Amazon Athena 以便访问安全湖数据。

在 第二篇文章 中，我们将准备并使用 意外数据访问 Amazon S3 桶的响应计划书，快速有效地解决事件。

结论

本篇文章探讨了如何利用安全湖加速安全事件响应。我们强调了客户在 NIST SP 80061 的各个阶段面临的常见挑战以及安全湖如何帮助解决这些问题。

苹果加速器免费版

在 系列的第二部分 中，我们将更深入地探讨一个具体的安全事件意外的数据访问，并分享使用安全湖加速您的事件响应过程的具体指导。

如您有任何反馈，请在下方评论区留言。如有关于本文的问题，请 联系 AWS 支持。